“網(wǎng)絡大流感”Apache Log4j2漏洞來襲“云上企業(yè)”如何應對?
每日經(jīng)濟新聞
2022-01-12 22:31:00
◎利用難度低���、攻擊成本低����,意味著近期針對Apache Log4j2漏洞的攻擊行為將還會持續(xù)一段時間�,這將是一場“網(wǎng)絡安全大流感”。
◎目前即使是高度自動化的云原生安全方案��,也無法做到完全自主自治�,仍然需要合格的云安全服務專業(yè)團隊參與。
每經(jīng)記者|朱成祥 每經(jīng)編輯|梁梟
對于大部分互聯(lián)網(wǎng)用戶而言�,Apache(阿帕奇)Log4j2是個陌生的詞匯。但在很多程序員眼中���,它卻是陪伴自己的好伙伴���,每天用于記錄日志�����。然而,恰恰是這個被無數(shù)程序員每天使用的組件出現(xiàn)漏洞了�。這個漏洞危害之大,甚至可能超過“永恒之藍”���。
安恒信息高級應急響應總監(jiān)季靖評價稱:“(Apache Log4j2)降低了黑客攻擊的成本�,堪稱網(wǎng)絡安全領域20年以來史詩級的漏洞��。”有業(yè)內(nèi)人士還認為���,這是“現(xiàn)代計算機歷史上最大的漏洞”���。
工信部于2021年12月17日發(fā)文提示風險:“阿帕奇Log4j2組件存在嚴重安全漏洞……該漏洞可能導致設備遠程受控,進而引發(fā)敏感信息竊取�、設備服務中斷等嚴重危害,屬于高危漏洞�����。”
就連國家政府部門也中招了。2021年12月下旬�,比利時國防部承認他們遭受了嚴重的網(wǎng)絡攻擊,該攻擊基于Apache Log4j2相關漏洞����,網(wǎng)絡攻擊導致比利時國防部包括郵件系統(tǒng)在內(nèi)的一些業(yè)務癱瘓。
此漏洞“威力”之大���,連國家信息安全也受到波及�。那么普通企業(yè)�,特別是采用云服務的企業(yè)應該如何應對呢?疫情發(fā)生以來�����,大量企業(yè)�����、機構加速數(shù)字化進程��,成為“云上企業(yè)”����。傳統(tǒng)環(huán)境下�����,企業(yè)對自身的安全體系建設擁有更多掌控權�,完成云遷移后�����,這些企業(yè)的云安全防護是否到位�?
二十年一遇安全漏洞來襲:將成“網(wǎng)絡大流感”
2021年12月9日深夜�����,Apache Log4j2遠程代碼執(zhí)行漏洞攻擊爆發(fā)�����,一時間各大互聯(lián)網(wǎng)公司“風聲鶴唳”��,許多網(wǎng)絡安全工程師半夜醒來�,忙著修補漏洞。“聽說各大廠程序員半夜被叫起來改����,不改完不讓下班��。”相關論壇也對此事議論紛紛�����。
為何一個安全漏洞的影響力如此之大���?安永大中華區(qū)網(wǎng)絡安全與隱私保護咨詢服務主管合伙人高軼峰認為:“影響廣泛、威脅程度高�����、攻擊難度低����,使得此次Apache Log4j2漏洞危機備受矚目,造成了全球范圍的影響���。”
“Log4j2是開源社區(qū)阿帕奇(Apache)旗下的開源日志組件��,被全世界企業(yè)和組織廣泛應用于各種業(yè)務系統(tǒng)開發(fā)”�����,季靖表示���,“據(jù)不完全統(tǒng)計����,漏洞爆發(fā)后72小時之內(nèi)�,受影響的主流開發(fā)框架都超過70個。而這些框架����,又被廣泛使用在各個行業(yè)的數(shù)字化信息系統(tǒng)建設之中,比如金融�����、醫(yī)療�����、互聯(lián)網(wǎng)等等��。由于許多耳熟能詳?shù)幕ヂ?lián)網(wǎng)公司都在使用該框架����,因此阿帕奇Log4j2漏洞影響范圍極大�����。”
除了應用廣泛之外,Apache Log4j2漏洞被利用的成本相對而言也較低���,攻擊者可以在不需要認證登錄這種強交互的前提下����,構造出惡意的數(shù)據(jù),通過遠程代碼對有漏洞的系統(tǒng)執(zhí)行攻擊�。并且,它還可以獲得服務器的最高權限��,最終導致設備遠程受控�,進一步造成數(shù)據(jù)泄露�����,設備服務中斷等危害�。
不僅僅攻擊成本低,而且技術門檻也不高���。不像2017年爆發(fā)的“永恒之藍”���,攻擊工具利用上相對復雜�?;贏pache Log4j2漏洞的攻擊者,可以利用很多現(xiàn)成的工具����,稍微懂點技術便可以構造更新出一種惡意代碼。
利用難度低����、攻擊成本低,意味著近期針對Apache Log4j2漏洞的攻擊行為將還會持續(xù)一段時間�,這將是一場“網(wǎng)絡安全大流感”。
“云上企業(yè)”如何防護���?
傳統(tǒng)模式下����,安全人員可以在本地檢測���、打補丁、修復漏洞����。相對于傳統(tǒng)模式��,“云上企業(yè)”使用的是云計算���、云存儲服務等,沒有自己的機房和服務器����。進入云環(huán)境,安全防護的“邊界”不復存在�,對底層主機的控制權限也沒有本地那么多,同時還多一層虛擬化方面的攻擊方式����。
特別是疫情影響下,大量企業(yè)���、機構開啟數(shù)字化轉型����,從本地服務器遷徙到云服務器����。短時間內(nèi)完成云遷移,企業(yè)很可能缺乏對應的云安全管理能力成熟度;同時�,往往也面臨著安全能力不足、專業(yè)人手緊缺等情況�����。
面對這場史詩級的漏洞危機���,“云上企業(yè)”應該如何應對呢��?
在安恒信息高級產(chǎn)品專家蓋文軒看來:“企業(yè)上云之后��,傳統(tǒng)的網(wǎng)絡安全風險依然存在�����,此外���,還會面臨新的安全風險,比如用戶與云平臺之間安全責任邊界劃分等問題��。另外�����,傳統(tǒng)的硬件設備可能不適用于云環(huán)境����,因此需要針對特殊情況部署相關安全服務。”
而在安永大中華區(qū)科技風險咨詢服務合伙人趙劍澐看來:“面對快速上云���,企業(yè)急需搭建滿足自身業(yè)務發(fā)展與管理要求的安全保障體系�。”
那么����,對于這些“云上企業(yè)”,究竟是選擇云服務商提供的原生安全服務��,還是另尋第三方專業(yè)的安全服務商呢���?
事實上�,目前即使是高度自動化的云原生安全方案��,也無法做到完全自主自治��,仍然需要合格的云安全服務專業(yè)團隊參與���。高軼峰強調(diào)����,對于中小型企業(yè),選擇滿足資質(zhì)的第三方專業(yè)安全機構�,能夠保證服務的獨立性,保障工作順利開展及服務質(zhì)量����。
封面圖片來源:攝圖網(wǎng)-500345682
